金山明文保存密碼遭曝光網(wǎng)購“盜號門”或再爆發(fā)

當前，網(wǎng)絡(luò)安全問題開始得到越來越多互聯(lián)網(wǎng)公司的關(guān)注，但一些安全廠商的產(chǎn)品卻頻涉隱私問題，不禁令人反思。據(jù)了解，去年7月，漏洞報告網(wǎng)站烏云平臺曝光金山網(wǎng)絡(luò)用戶中心存在SQL注射漏洞，同時明文儲存用戶密碼，造成嚴重安全威脅;無獨有偶，今年初，有網(wǎng)友發(fā)現(xiàn)金山瀏覽器賠付頁面出現(xiàn)了XSS漏洞;加上2012年初引起軒然大波的“泄密門”事件，金山一年三陷泄密風波，實屬罕見。

圖：烏云平臺曝光金山漏洞

根據(jù)烏云平臺曝出的相關(guān)信息顯示，金山存儲密碼的方式為明文存儲，一旦數(shù)據(jù)泄露黑客可以輕松獲得大量用戶的賬號密碼。烏云平臺對此也發(fā)表質(zhì)疑，認為金山方面應(yīng)該給出合理的解釋。同時也有網(wǎng)友指出，金山此舉是為了方便數(shù)據(jù)挖掘，畢竟密碼加密后對數(shù)據(jù)分析的是非常有難度的。但這些數(shù)據(jù)是用來做什么，金山并沒有給出明確的答復(fù)。

據(jù)了解，此前中國互聯(lián)網(wǎng)業(yè)最嚴重的一次泄密事件就和金山有關(guān)，金山某員工最早公布了密碼包供下載，結(jié)果造成了中國互聯(lián)網(wǎng)行業(yè)的一場浩劫。在此次事件后，大部分公司都加強了安全防范強度。但金山卻仍然使用明文保存密碼，作為安全公司，金山的做法無疑過于草率。

2011年底，黑客在網(wǎng)上公開了CSDN、天涯等網(wǎng)站的用戶數(shù)據(jù)庫，導致超過1億個用戶賬號和與之對應(yīng)的明文密碼被公開泄露。賬號泄露之后，給很多其他網(wǎng)站帶來了災(zāi)難：由于很多用戶為了便于記憶，習慣于在不同網(wǎng)站注冊時使用相同的用戶名和密碼，這給了黑客以可乘之機，黑客利用技術(shù)手段大量到電子商務(wù)網(wǎng)站驗證這些用戶名和密碼，一旦發(fā)現(xiàn)相同的用戶名和密碼，即套取用戶賬號內(nèi)的余額、更改用戶訂單等，造成了極惡劣的社會影響。如京東商城、當當網(wǎng)、蘇寧易購、亞馬遜中國、 1 號店等多家網(wǎng)站，去年都曾遭遇過這種“盜號門”。甚至是號稱金融安全級別的支付寶，也常有網(wǎng)友曝出盜號的問題。近期，一些流量較大的團購網(wǎng)站美團、點評團、窩窩團，又有一些用戶賬號被盜，賬戶余額被盜用。

安全專家指出，這些盜號事件的根源就是因為明文密碼：有些網(wǎng)站由于用戶數(shù)據(jù)安全意識欠缺，曾經(jīng)明文保存過用戶密碼，一旦數(shù)據(jù)庫泄露，黑客就可直接掌握所有密碼，進而影響到整個互聯(lián)網(wǎng)的安全。作為老牌安全公司，金山在近幾年的表現(xiàn)始終不盡如人意，屢屢從安全公司淪為泄露安全公司，在社工庫等知名網(wǎng)絡(luò)安全事件中都可以看到金山的身影。專家表示，金山在安全行業(yè)被后輩趕超，導致進退失據(jù)，錯誤的將事業(yè)重心放到了提升產(chǎn)品質(zhì)量之外的地方。這種方式是非常不可取的，應(yīng)該引起相關(guān)企業(yè)的重視和警惕。